Le règlement général sur la protection des donnéesGDPR énonce six bases juridiques pour la collecte et le traitement des informations personnelles, dont l'une est l'intérêt légitime.
Ci-dessous, je décris ce qu'est l'intérêt légitime en vertu du GDPR, comment il fonctionne et quand l'utiliser, et je fournis des exemples pour aider votre entreprise à mieux comprendre cette exigence légale.
- Qu'est-ce que l'intérêt légitime dans le cadre du GDPR?
- Comment déclarer les intérêts légitimes dans le cadre du GDPR?
- Réalisation d'une évaluation de l'intérêt légitime (EIL) GDPR
- Exemples d'intérêts légitimes pour les entreprises
- Le traitement basé sur l'intérêt légitime GDPR s'applique-t-il à vous ?
- Consentement et intérêt légitime selon GDPR
- Résumé
Qu'est-ce que l'intérêt légitime dans le cadre du GDPR?
En vertu du GDPR, l'intérêt légitime est l'une des bases légales pour le traitement des informations personnelles. Il figure à l' article 6, Légitimité du traitement, et stipule ce qui suit :
"Le traitement est nécessaire pour aux fins de l'intérêt légitimation de l'intérêts poursuivis par le responsable du traitement ou par un tiers , sauf lorsque ces intérêts sont outrepassés par les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant".
Cela signifie que votre entreprise ne peut traiter des données à caractère personnel sans obtenir le consentement explicite des consommateurs que si vous avez une raison réelle et justifiable et qu'aucune autre base juridique ne peut être appliquée pour l'activité de traitement en question.
Il s'agit littéralement de tout intérêt qui profite à une ou plusieurs parties impliquées dans le traitement des données, et qui peut être personnel, commercial ou même sociétal.
Par exemple, les entités peuvent l'utiliser pour traiter des données afin de prévenir la fraude ou le vol d'identité ou pour garantir le bon fonctionnement d'un système de sécurité.
Toutefois, le traitement ne peut pas porter atteinte aux droits des consommateurs en matière de protection de la vie privée.
L'objectif est de permettre aux entreprises de traiter les données d'une manière à laquelle une personne peut raisonnablement s'attendre, tout en équilibrant et en respectant les droits de la personne concernée, ce qui semble assez simple.
Mais d'après mon expérience en tant que professionnel de la protection de la vie privée, il s'agit d'une des bases juridiques les plus complexes, car la charge de la preuve incombe à l'entreprise.
Si une autorité de contrôle juge le raisonnement insuffisant, elle peut vous demander de cesser le traitement sous peine de devoir payer des amendes pour non-conformité.
Qu'est-ce qui n'est pas un intérêt légitime au sens du GDPR?
L'article 6 du GDPR stipule que le traitement des données peut être considéré comme un intérêt légitime,
"...sauf si les intérêts ou les libertés et droits fondamentaux de la personne concernée l'emportent sur ces intérêts. fondamentaux de la personne concernée."
En d'autres termes, le traitement ne peut être considéré comme un intérêt légitime s'il porte atteinte aux droits et libertés des personnes auxquelles appartiennent les données à caractère personnel.
Cette définition étant très large et sujette à interprétation, il est plus difficile pour les entreprises de prouver légalement l'existence d'un intérêt légitime.
Comment déclarer les intérêts légitimes dans le cadre du GDPR?
Pour déclarer des intérêts légitimes comme base légale du traitement des données, vous devez informer les consommateurs dans votre politique de confidentialité GDPR et décrire clairement quels sont ces intérêts.
Vous devez être aussi précis que possible sur vos intérêts légitimes et sur la manière dont vos activités de traitement des données servent les utilisateurs, faute de quoi les autorités de contrôle pourraient considérer votre raisonnement comme une violation de la loi.
Réalisation d'une évaluation de l'intérêt légitime (EIL) GDPR
Pour vous aider à déterminer comment les intérêts légitimes peuvent s'appliquer à vos pratiques de collecte de données, je vais vous présenter les étapes d'une évaluation des intérêts légitimes GDPR
L'évaluation de l'intérêt légitime GDPR est un test en trois parties qui permet de déterminer si l'intérêt légitime s'applique à une situation donnée de traitement de données, comme le recommande l'Information Commissioner's Office (ICO) du Royaume-Uni.
Il contient les éléments suivants :
- Le test de finalité évalue si vous poursuivez des intérêts légitimes dans le cadre du traitement de vos données.
- Le test de nécessité montre que le traitement des données est nécessaire pour atteindre la finalité déclarée.
- Le test de mise en balance démontre que cet intérêt légitime ne viole pas les droits ou les intérêts des personnes concernées.
Test de finalité
Le test de finalité vise à déterminer si vous avez un intérêt légitime à traiter des données.
Pour commencer, identifiez les finalités du traitement des données et évaluez s'il s'agit d'un intérêt légitime en vous posant les questions suivantes :
- Pourquoi voulez-vous traiter les données des utilisateurs ?
- Qui bénéficie du traitement des données, et de quelle manière ?
- Que se passerait-il si vous ne procédiez pas au traitement des données ?
- Respectez-vous les autres lois sur la confidentialité des données et les normes du secteur ?
- Le traitement pose-t-il des problèmes éthiques potentiels ?
- Le traitement entrave-t-il les droits de l'utilisateur ?
- La personne concernée s'attend-elle à un tel traitement ?
- Le traitement remplit-il une fonction importante ou bénéfique pour la société (par exemple, prévention de la fraude, sécurité, recherche, etc.)
- Une personne concernée estimerait-elle que le traitement est raisonnable et proportionné ?
Une entreprise qui prévient la fraude financière, par exemple, peut déclarer qu'elle souhaite traiter les données d'achat des utilisateurs pour repérer les fraudes éventuelles ; cela profite au consommateur et peut être effectué dans le respect des lois sur la protection de la vie privée, sans porter atteinte à aucun droit.
Veillez à garder une trace de vos réponses, car il vous sera plus facile de compléter votre avis de confidentialité (une exigence essentielle du GDPR) et de prouver que votre intérêt légitime est juridiquement fondé, si un audit de confidentialité devait avoir lieu.
Test de nécessité
L'objectif du test de nécessité est de déterminer si le traitement des données est véritablement un élément essentiel et inévitable pour atteindre la finalité légitime envisagée.
Pour le savoir, il est utile de répondre aux questions suivantes et, comme pour le test de finalité, d'en assurer le suivi :
- Le traitement des données vous aidera-t-il réellement à atteindre l'objectif que vous vous êtes fixé ?
- Le niveau de traitement des données est-il proportionné à l'objectif que vous vous êtes fixé ?
- Existe-t-il des solutions moins intrusives pour atteindre votre objectif ?
- Le même objectif pourrait-il être atteint sans traiter de données à caractère personnel ou en traitant moins de données ?
- L'étendue du traitement des données est-elle proportionnée à l'avantage recherché ?
- Existe-t-il des garanties susceptibles de réduire la nécessité de certains types de traitement ?
- Le traitement concerne-t-il des données sensibles (catégorie spéciale de données) ou des données relatives à des enfants ? Dans l'affirmative, existe-t-il une raison impérieuse de procéder au traitement ?
Par exemple, si vous utilisez des plateformes tierces telles que Google Analytics pour suivre le trafic et l'engagement, il se peut que vous puissiez atteindre le même objectif analytique en collectant des données agrégées plutôt que des données d'utilisateurs individuels.
Dans ce cas, le traitement ne serait pas nécessaire et vous ne devriez donc pas utiliser l'intérêt légitime comme base légale.
Test d'équilibre
Enfin, le test d'équilibre évalue si les intérêts et les droits fondamentaux des consommateurs l'emportent sur les intérêts légitimes de votre entreprise.
Pour vous aider à le déterminer, répondez aux questions suivantes :
- Traitez-vous des données personnelles sensibles ?
- Traitez-vous les données d'enfants ou de mineurs ?
- Les utilisateurs s'attendent-ils raisonnablement à ce que vous utilisiez leurs données pour les objectifs que vous vous êtes fixés ?
- Quel est l'impact de votre traitement des données sur les personnes ?
- Le traitement crée-t-il des risques de préjudice, de détresse ou de discrimination pour les personnes ?
- Les personnes concernées sont-elles susceptibles de s'opposer au traitement et, dans l'affirmative, pourquoi ?
- Avez-vous mis en place des garanties suffisantes pour protéger les droits et libertés des personnes concernées ? (par exemple, anonymisation, pseudonymisation, cryptage, opt-out, mesures de transparence, etc.)
- Les personnes concernées peuvent-elles facilement exercer leurs droits (par exemple, droit d'opposition, droit à l'effacement, droit d'accès) ?
- Une personne raisonnable estimerait-elle que le traitement des données est justifié à la lumière de son impact potentiel ?
Pour faire pencher la balance en votre faveur et invoquer l'intérêt légitime pour vos activités de traitement des données, mettez en œuvre des mesures de sécurité appropriées pour protéger les données personnelles des utilisateurs et faites preuve de transparence quant à vos pratiques de collecte de données.
C'est une bonne pratique que d'effectuer cet EIL si nécessaire afin de pouvoir démontrer que vos intérêts légitimes sont valables conformément au GDPR.
Exemples d'intérêts légitimes pour les entreprises
Selon les considérants 47 et 48 du GDPR, il existe certaines situations dans lesquelles l'intérêt légitime peut être appliqué :
- Détection de la fraude et prévention de la criminalité
- Sécurité des réseaux et de l'information
- Traitement des données des employés ou des clients au sein d'un groupe d'entreprises
- Marketing direct
Pour vous aider à mieux comprendre ces cas, j'ai rassemblé quelques exemples ci-dessous.
Détection de la fraude et prévention de la criminalité
Le traitement des données à des fins de détection de la fraude et de prévention de la criminalité satisfait généralement au critère de la finalité, les critères de la nécessité et de l'équilibre devant être examinés dans des cas spécifiques.
Dans ce cas, vous devez expliquer comment le traitement des données des utilisateurs contribuera directement à la détection et à la prévention de la fraude dans votre politique de confidentialité conforme.
Sécurité des réseaux et de l'information
Selon l'introduction du considérant 49 du GDPR, un intérêt légitime prépondérant est :
" Le traitement des données à caractère personnel dans la mesure strictement nécessaire et proportionnée dans le but d'assurer la sécurité du réseau et de l'information."
Étant donné que tous les propriétaires d'entreprises doivent surveiller et maintenir avec diligence la sécurité de leurs plateformes, le traitement des données à caractère personnel sur la base d'intérêts légitimes pourrait être nécessaire pour les enquêtes sur les violations de données ou pour empêcher l'accès non autorisé à un réseau.
Le considérant 49 mentionne aussi directement les cas de prévention de la distribution de codes malveillants et d'arrêt des attaques par déni de service distribué (DDoS).
Traitement des données relatives aux employés et aux clients
Les intérêts légitimes pour le traitement des données des employés et des clients sont abordés dans le considérant 48, qui stipule que
"Ces intérêts légitimes peuvent exister, par exemple, lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans le cadre d'une relation de confiance. pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations..."
Les cas où l'intérêt légitime s'applique au traitement des données des employés et des clients sont les suivants :
- Vérification des antécédents
- Gestion des urgences
- Enregistrement des appels au service clientèle à des fins de gestion de la qualité
Une politique de confidentialité conforme, dans ce cas, inclurait la base juridique pertinente pour chaque finalité déclarée du traitement des données, telle qu'une communication adéquate avec les candidats et la garantie du recrutement de l'employé approprié.
L'intérêt légitime s'applique également au traitement des données des clients, qui peuvent être nécessaires pour fournir vos services commerciaux - du conseil aux entreprises à la modélisation de portefeuilles d'investissement.
Intérêts légitimes en matière de marketing direct
Selon une partie du considérant 47 du GDPR
"...le traitement de données à caractère personnel à des fins de à des fins de marketing direct peut être considéré comme effectué dans un intérêt légitime."
Le marketing par courrier électronique et le marketing B2B peuvent constituer des motifs légitimes de traitement des données pour autant que ces activités soient fondées sur l'intérêt légitime ou le consentement, en particulier lorsque vous avez déjà une relation d'affaires avec les personnes concernées.
Toutefois, vous devez vérifier la législation nationale dans les pays où vous souhaitez opérer, car ces règles peuvent différer en fonction des mesures supplémentaires mises en œuvre au niveau national.
Si cela s'applique à votre entreprise, vous devez l'indiquer clairement dans votre politique de confidentialité, ainsi qu'une description des droits des personnes concernées en matière de marketing direct en vertu du GDPR.
Plus précisément, les personnes concernées ont le droit de se retirer du marketing direct, et votre entreprise doit honorer ces demandes, sous peine d'être sanctionnée pour violation de la loi.
Surveillance des employés
Le GDPR permet également d'inclure le suivi des employés en tant qu'intérêt légitime dans des situations très spécifiques où un équilibre est maintenu entre les besoins de l'entreprise et les droits de l'employé en matière de protection de la vie privée.
Par exemple, un employeur peut avoir besoin d'accéder aux données des employés pour les raisons suivantes :
- Protéger les actifs de l'entreprise
- Maintenir et entretenir les opérations
- Veiller au respect des politiques de l'entreprise et de la législation
- Prévenir les failles de sécurité
- Sauvegarde de la propriété intellectuelle
Toutes ces informations doivent figurer dans une politique de confidentialité qui doit être présentée aux employés.
Recouvrement de créances
Le recouvrement de créances peut également être considéré comme un intérêt légitime au sens du GDPR si l'entreprise peut démontrer que le traitement des données est essentiel et ne porte pas atteinte au droit à la vie privée d'une personne.
Toutefois, une entreprise peut recouvrer des dettes qui lui sont dues et utiliser des données à caractère personnel pour faciliter ce processus si elle peut prouver que le traitement est équilibré et nécessaire.
Elle doit également être clairement divulguée et expliquée dans votre avis de confidentialité conforme auGDPR .
Le traitement basé sur l'intérêt légitime GDPR s'applique-t-il à vous ?
Il est important que vous choisissiez une base juridique pour votre traitement de données qui soit légale, applicable et prouvable, et la charge de la preuve incombe uniquement à votre entreprise.
Pour vous aider à déterminer si le traitement des données basé sur l'intérêt légitime GDPR s'applique à vous, j'ai rassemblé deux questions à examiner.
Les intérêts légitimes constituent-ils la base la plus appropriée pour vos activités de traitement des données ?
Si vous invoquez l'intérêt légitime en vertu du GDPR, vous devez être en mesure de prouver qu'il n'existe pas d'autres bases juridiques plus appropriées pour vos activités de traitement des données.
Soyez très prudent, car les amendes pour non-conformité au GDPR peuvent atteindre 4 % de votre chiffre d'affaires annuel brut ou 20 millions d'euros (21 millions de dollars), selon le montant le plus élevé.
Les données seront-elles traitées de manière à répondre aux attentes raisonnables des utilisateurs ?
Il est également important que votre entreprise puisse prouver que vos activités de traitement des données sont effectuées d'une manière qui répond aux attentes raisonnables de vos utilisateurs.
Selon le GDPR, les personnes concernées ont le droit de contrôler leurs données personnelles et la manière dont elles sont utilisées.
Cela signifie que le traitement des données d'une manière à laquelle les utilisateurs ne s'attendent pas peut constituer une violation du GDPR, notamment si vous n'indiquez pas clairement les droits des utilisateurs sur leurs données.
Vous devez utiliser un langage clair dans votre politique de confidentialité et éviter le jargon complexe ou le jargon juridique pour vous assurer que les utilisateurs comprennent comment vous traitez leurs données.
Consentement et intérêt légitime selon GDPR
En vertu du GDPR, vous pouvez traiter des données à caractère personnel sans le consentement de l'utilisateur si le traitement est fondé sur l'une des autres bases juridiques mentionnées précédemment.
Toutefois, le traitement des données fondé sur le consentement est beaucoup plus facile à prouver, car il exige que vous obteniez le consentement explicite de la personne concernée - vous n'avez pas besoin de déterminer la nécessité du traitement.
Si vous traitez des données à caractère personnel sur la base du consentement, vous devez également fournir aux utilisateurs des options de retrait afin qu'ils puissent facilement revenir sur leur consentement, comme l'exige le GDPR.
Vous pouvez utiliser des ressources telles qu'une plateforme de gestion du consentement (CMP) pour vous aider à obtenir le consentement.
Les solutions de consentement vous permettent également de prouver plus facilement que vous avez obtenu le consentement légal des personnes concernées et que vous leur donnez la possibilité de changer d'avis à tout moment.
Si vous traitez des données et que vous n'êtes pas sûr que vos objectifs répondent aux normes de nécessité des intérêts légitimes, l'obtention du consentement est l'option la plus sûre pour la conformité au GDPR .
Résumé
En vertu du GDPR, le traitement des données basé sur l'intérêt légitime est un processus complexe.
Votre entreprise doit procéder à une évaluation de l'intérêt légitime GDPR afin de déterminer si vos objectifs et le traitement sont nécessaires, équilibrés et conformes à la loi.
Mais comme cette base juridique est sujette à diverses interprétations et que la responsabilité de la preuve incombe à votre entreprise, vous devez vous assurer que vous êtes sûr de vous lorsque vous citez l'intérêt légitime dans votre avis sur la protection de la vie privée.
En savoir plus sur l'auteur
Écrit par Teodor Stanciu, CIPP/E, CIPM
Teo est un spécialiste de la protection des données et un délégué à la protection des données (DPD) expérimenté qui se passionne pour aider les entreprises à respecter leurs obligations en matière de protection des données. Il a plus de sept ans d'expérience en tant que DPD pour une organisation internationale active dans 50 pays et basée à Bruxelles, en Belgique. Teo est un Certified Information Privacy Professional/Europe (CIPP/E) et un Certified Information Privacy Manager (CIPM) de l'International Association of Privacy Professionals (IAPP).
En savoir plus sur l'auteur
